安全研究人員發現 OpenSSL 協定中存在一個非常嚴重的安全漏洞,近三分之二的 Web 伺服器使用該協定來加密與使用者的通訊。例如,存取電子郵件帳戶、銀行服務、虛擬私人網路 (VPN)、聊天伺服器等。就連網路托爾都在一定程度上受到了影響。
更具體地說,這是一個名為「Heartbeat Extension」的庫中的錯誤,在某些情況下會導致伺服器層級的資料外洩。這就是為什麼研究人員稱其為《心血蟲》,流血的心蟲。一個非常富有詩意的名字,代表著一種特別嚴重的風險。
存取私鑰
利用此缺陷可以存取用於加密流量的私鑰,從而存取所有流通的內容,包括連結到網路服務的任何識別碼和密碼。此外,正如研究人員指出的那樣,此類攻擊不會在日誌中留下任何異常痕跡。就線銀行服務而言,網路犯罪分子可能會在管理員沒有意識到的情況下竊取所有連接到該服務的使用者的資料。完美的搶劫。
這個漏洞已經存在兩年了,而且被利用的風險也遠不低,因此更令人擔憂。因此,研究人員正在尋求安全研究界的幫助來部署“蜜罐”,以查看目前是否正在實施攻擊。事實上,即使攻擊沒有留下具體痕跡,只要配置正確,入侵偵測系統仍然可以偵測到它。
有補丁可用
好消息是,只有最新版本的 OpenSSL (1.0.1) 受到影響,並且已經有更新 (1.0.1g),鼓勵系統管理員盡快安裝。這可能會影響相當多的作業系統,包括 Debian、Ubuntu、CentOS、Fedora、OpenBSD、FreeBSD、NetBSD 和 OpenSuse。也建議在 Linux 桌面上使用這些系統之一的最終用戶進行更新。顯然,您還需要更改所有 SSL 加密憑證。
然而,即使更新所有系統,我們也無法修復已經造成的損害(如果已經造成的話)。網路竊賊設法獲得 SSL 加密金鑰,然後記錄幾個月的所有交換(例如 NSA 就是這麼做的),他們有足夠的時間悄悄解密所有這些資料。
另請閱讀:
網路加密,FBI 和 NSA 想從網路巨頭那裡取得 SSL 金鑰, 26/07/2013
您的老闆是否在監視您的加密通訊?參加測試!,於 21/01/2014
